Det bästa sättet att skydda en enskild dator eller ett nätverk är att upptäcka och blockera attacker innan de kan orsaka någon skada. Därför kan intrångsdetekteringssystem (IDS) och intrångspreventionssystem (IPS) vara ett bra komplement till en brandvägg. Fortsätt läsa för att få reda på mer om IDS och IPS, vad de har gemensamt och vad som skiljer dem åt.

Innan vi går in på skillnaderna mellan IDS och IPS ska vi kort presentera de två systemen. IDS står för intrusion detection system och är ett system som upptäcker attacker mot en klient eller ett nätverk så tidigt som möjligt. Om IDS stöter på ovanlig datatrafik i sin analys skickar det en varning till administratören. Det finns två olika typer av IDS, värdbaserade och nätverksbaserade. IPS står för intrusion prevention system och avser ett system som inte bara känner igen och rapporterar potentiella attacker utan också motverkar dem med aktiva åtgärder. IPS använder också värdbaserade och nätverksbaserade sensorer för att utvärdera systemdata och nätverkspaket.

Vad har IDS och IPS gemensamt?

Det borde redan stå klart att IDS och IPS inte är två helt skilda världar. Det finns ett antal saker som de två systemen har gemensamt. Vi ska titta på några av dem nedan.

Analyser

I många fall är de metoder som de två systemen använder för analys nästan eller exakt desamma. Både IDS och IPS använder sensorer på värden, i nätverket eller båda för att inspektera systemdata och datapaket i nätverket och söka efter hot. De använder fasta parametrar så att de kan upptäcka avvikelser samtidigt som de känner igen ofarliga anomalier för vad de är. Analysen utförs med hjälp av “ misuse detection “ eller “ anomaly detection“. Men detta innebär också att de har potentiella svaga punkter gemensamt. En av dessa är att när det gäller detektering av missbruk kan okända hot förbises. Och vid anomalidetektering rapporteras ofta harmlösa datapaket.

Databas

Både IDS och IPS använder en databas som hjälper till att identifiera hot snabbare och mer exakt. Ju mer omfattande biblioteket är, desto högre blir träfffrekvensen för varje system. Det är därför som IDS och IPS inte kan ses som statiska system utan i själva verket är föränderliga och adaptiva system som förbättras med uppdateringar.

Användning av AI

Artificiell intelligens är mycket viktigt för både IDS och IPS. Moderna system förbättrar sin hotdetektering och utökar sina databaser med hjälp av maskininlärning. Detta gör att de bättre kan förstå nya attackmönster, känna igen dem tidigare och rapportera färre ofarliga paket.

Inställningar

Både IDS och IPS kan skräddarsys och anpassas till behoven i ett nätverk eller system. Med rätt konfiguration säkerställs att processerna inte störs och att alla komponenter fungerar smidigt trots övervakningen. Detta är av stor vikt eftersom både IDS och IPS skannar och analyserar i realtid.

Automatisering

Både IDS och IPS arbetar automatiserat och autonomt. När de väl är konfigurerade behöver de inte övervakas av någon. De utför sina uppgifter och ger bara feedback om det uppstår ett hot.

Hotdetektering och varning

De två systemen har också samma grundläggande funktion, vilket är att de upptäcker hot och informerar administratören omedelbart. Varningen kan komma i form av ett e-postmeddelande, ett meddelande från en smartphone/surfplatta eller som ett systemlarm. Sedan kan de ansvariga bestämma hur de vill gå vidare.

Funktion för protokoll

Både IDS och IPS har en protokollfunktion. Det gör att de inte bara kan rapportera/motverka hot utan också lägga till dem i sina egna databaser. Det gör dem starkare över tid och gör det möjligt för dem att identifiera och förbättra svaga punkter.

Kombination med brandväggar

Både IDS och IPS ska ses som komplement till brandvägg. För att på bästa sätt skydda ditt system mot attacker bör du kombinera flera säkerhetsåtgärder. Om du bara använder en IDS eller IPS kommer ditt nätverk eller din dator inte att vara tillräckligt skyddad.

Vad skiljer IDS och IPS från varandra?

Som vi har sett ovan har de två systemen mycket gemensamt. Men det finns också ett antal saker som skiljer dem åt. Nedan förklarar vi några av de viktigaste skillnaderna mellan IDS och IPS.

Svar på hot

Som nämnts ovan övervakar både IDS och IPS ett system och rapporterar och loggar hot. Men medan IDS:ens arbete slutar där, går IPS längre. IPS är ett aktivt säkerhetssystem som självständigt reagerar på hot. Det kan innebära att anslutningar avbryts eller att datapaket stoppas och kasseras om de uppvisar avvikelser. IDS, å andra sidan, är ett passivt system som bara övervakar och rapporterar hot.

Positionering

IDS och IPS skiljer sig också åt när det gäller placering. IDS placeras antingen på en dator eller i utkanten av ett nätverk, där det är enklast att övervaka inkommande och utgående datapaket. IPS, å andra sidan, placeras bakom brandväggen, där det inte bara kan rapportera hot utan också stoppa dem.

Olika typer

Båda lösningarna kan vara värdbaserade (HIPS) eller nätverksbaserade (NIPS). Men till skillnad från IDS kan IPS-lösningar också vara WiFi-baserade (WIPS).

Autonomi

IPS arbetar för det mesta autonomt och hittar lösningar för olika typer av hot. IDS övervakar också datapaket autonomt men kan inte agera på egen hand när den upptäcker hot. Om en varning skickas ut är det administratören som initierar ett svar.

Konfiguration

IDS fungerar vanligtvis inline och har därför inga negativa effekter på nätverkets prestanda. Men det kräver ändå en del eftertanke när konfigurationer ska ställas in. IDS kan t.ex. vidarebefordra ett hot som det har upptäckt direkt till routern eller brandväggen och informera administratören. IPS kan å andra sidan ha negativa effekter på nätverkets prestanda. Det gör det ännu viktigare att konfigurera systemet exakt. Om det släpper igenom farliga datapaket skyddar det inte längre ditt system. Men om det blockerar ofarlig trafik kan hela nätverket påverkas.

Gå till huvudmeny